ГлавнаяБаза уязвимостей БДУ → BDU:2024-07355
10критическая

BDU:2024-07355 (CVE-2022-39260)

Уязвимость функции split_cmdline() распределенной системы управления версиями git, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-23
Описание

Уязвимость функции split_cmdline() распределенной системы управления версиями git связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.7)Git (от 2.32.0 до 2.32.4)Git (от 2.34.0 до 2.34.5)Git (от 2.35.0 до 2.35.5)Git (от 2.36.0 до 2.36.3)Git (от 2.37.0 до 2.37.4)Git (до 2.30.6)Git (до 2.38.1)Git (от 2.31.0 до 2.31.5)Git (от 2.33.0 до 2.33.5)
Способ устранения

Для Git:
использование рекомендаций производителя: https://github.com/git/git/security/advisories/GHSA-rjr6-wcq6-83p6
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-39260
Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения git до версии 1:2.39.1-0.1

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет git до 1:2.11.0-3+deb9u10+ci202408021513+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://seclists.org/fulldisclosure/2022/Nov/1https://appd8.io/tools/git/releases/v2.30.6/https://github.com/git/git/commit/0ca6ead81edd4fb1984b69aae87c1189e3025530https://github.com/git/git/commit/32696a4cbe90929ae79ea442f5102c513ce3dfaahttps://github.com/git/git/commit/71ad7fe1bcec2a115bd0ab187240348358aa7f21https://github.com/git/git/security/advisories/GHSA-rjr6-wcq6-83p6https://lists.debian.org/debian-lts-announce/2022/12/msg00025.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2022-39260
Проверьте безопасность своего сайта и почты → Полная проверка домена